云杉网络CTO张天鹏:在SDN这条路上有哪些创新? 原创

随着云计算产业的不断成熟,目前很多企业都非常热衷于将自身业务迁移到云端,这样做的好处一方面可以节约企业IT建设成本;另一方面也扩展了业务的弹性。

至顶网网络频道 11月22日 北京报道:随着云计算产业的不断成熟,目前很多企业都非常热衷于将自身业务迁移到云端,这样做的好处一方面可以节约企业IT建设成本;另一方面也扩展了业务的弹性。但是,企业仍然还有很多顾虑,比如在云端的业务能否达到本地的服务性能,如何与本地业务联动进行统一管理,后期如何运维等问题。

云杉网络CTO张天鹏:在SDN这条路上有哪些创新?

云杉网络CTO:张天鹏

为此,至顶网采访了云杉网络CTO张天鹏,就如何利用网络技术解决云端用户所面临的种种困扰给出了自己的看法。针对目前复杂的云基础设施与网络环境之间的演进与未来发展做了相关阐述。

混合云环境让网络价值更加凸显

张天鹏指出,“从企业业务本身来看,很多公有云服务无论是安全性、合规性,还是业务性能、SLA等都很难达到本地服务的性能指标。所以企业更多地选择将非核心业务迁移到云端,而核心业务仍然放置在本地。这导致整个企业IT架构比以往更加复杂。而构成这一混合云架构的基础仍然要依赖底层的网络来支撑,这就使网络的核心价值被进一步的凸显出来。”

目前,市场中已经出现众多的混合云方案,尤以OpenStack为基础的开源混合云产品为主,以及各厂商推出的相对封闭的混合云产品。张天鹏认为,“无论是哪种方案,都需要从网络侧将所有资源进行打通,同时保证边界的安全。”

而数据中心云化将是大势所趋,由于混合云以及业务的复杂性导致资源更加分散,这时网络在其中就扮演了一个更加核心的地位。张天鹏表示,“对很多企业上云而言,大多会采用逐步将业务向云迁移的过渡方式,这就面临一个可靠性的问题。当在云端的部分业务出现不稳定状态时,能否迅速将业务回迁到本地或其他资源上,将极大影响业务的连续性。而这种能力将由网络来实现,这也是网络灵活性的一种具体体现。”

SDN是提升网络灵活性的不二法则

对于云及数据中心的运营方来说,必须满足用户对业务灵活调度及相关运维的实际需求。因此在构建网络时,这些企业把目光不约而同地投向了SDN。张天鹏也表示,“这是实现复杂、灵活业务系统的必要手段,因为传统架构已经很难满足上述需求了。”

另外,当业务在云上跑起来之后,要给用户提供高质量的SLA,就必须对IT管理有非常高的要求。要能够看清云里面到底发生了什么?有没有安全事件?而云杉网络提供了一套可视化分析系统,通过提高全网运维效率来提升SLA。

对此,张天鹏表示,“云杉网络提供两个方向的产品,一个是从技术上帮助用户去对网络进行虚拟化,构建适应各种业务环境的网络拓扑、连接以及混合架构。另一个是通过对网络的可视化分析保证用户的SLA,并提供安全分析的能力。”

针对异构环境的整体网络改造

面对目前用户IT环境比较复杂的问题,张天鹏表示,对于异构环境,常见的业务场景是一部分系统做虚拟化,另一部分系统做物理托管。比如,在数据中心网络中采用的方式是在原有的系统中放置SDN网关以保证原有网络能够连接到云端,这样首先是保证其与云的连通,其次也满足了资源和业务扩展的需求。

另外,张天鹏强调了一个非常关键的问题,那就是网络边界。由于本地业务与云端打通带来了更多的不确定性,所以云杉网络在这种混合异构系统的接入点加入了一个安全网关;这个安全网关的主要功能,第一是保证网络的可靠性(抑制网络风暴)、保证身份的一致性(杜绝中间人攻击)。第二是对未知威胁的防控,比如可以自定义哪些流量可以访问私有资源、哪些流量可以访问公有资源,相当于定义了一种安全访问的边界。

此外,张天鹏对异构网络改造总结出了三个步骤:第一步是做本地系统与云平台的对接,无论是OpenStack还是公有云首先都要做到联动;第二步是做自身网络的统一控制和服务平台,这也是云杉网络的一大强项,面对不同用户的各类需求,可以通过弹性网络及定制化方案来满足用户不同阶段的具体业务需求;第三步是构建合作伙伴生态,云杉网络提供开放的接口支持企业和第三方厂商的二次开发,帮助传统企业通过成熟的行业应用来提高业务运营效率及能力。

如何破解混合云环境下的运维难题

当面对复杂的云环境,网络运维又将何去何从?张天鹏对此表示,“原来的网络运维通常都基于一些标准化的工具和产品,比如APM、NPM来完成性能诊断和排障。但我们发现当系统被虚拟化以后,很多流量已经引不出去了,加之虚拟机的漂移使得问题更加棘手。另一个问题是,企业在云中的资源是相对有限的,还会受到网络带宽的限制,甚至面临计算和网络资源的超分问题,很难保障有足够资源来做全流量的引出,这就意味着监控网络很可能对生产网络的性能造成较大的影响。而云杉网络目前能够提供一种更加轻量化的方式把混合云环境中的流量提取出来并做相应的过滤。”

为了帮助大家理解,张天鹏分享了一个实际案例,“一天某用户发现自己无法登陆到云系统,同时发现系统中数据已经被改变,关键业务出现了问题,但系统日志却查询不到问题所在。这时他们首先找到云平台的管理者寻求帮助,但云平台方面也感到很诧异,因为用户账号密码设计都非常复杂不应该被篡改。后来这个用户找到云杉网络,云杉网络利用自己的DFI专利技术对其网络行为进行了分析。经过分析发现在用户系统上某一时间段内出现了一个境外的IP,包括这个IP如何进入系统、在系统中滞留多长时间、访问了哪些端口等信息都被分析了出来。最后,用户根据我们提供的证据和线索最终确定为熟人作案。”

我们看到这个案例虽然并不复杂,但是在云环境中,由于数据量非常之大,把全部流量提取出来做分析显然是不现实的。张天鹏表示,“在这种场景中我们必须采用一种更加轻量化、更加高效的方式来对流量进行监控,同时也要考虑对数据存储的压力。而DFI技术能够根据不同流量模型实现从1:100到1:1000的流量抽取比,大大提升了云环境中对流量的监控效率。”

据悉,云杉网络能够提供对整网流量的可视化分析能力,包括任意时间点IP及虚机状态和访问路径的实时监控。另外,通过回溯的方式,基于IP端口协议、租户信息等能够勾勒出流量各种维度的呈现。同时,基于特征分析建立起的几十种安全模型,能够匹配用户业务系统的各个场景中,以实现对网络运维的最大化需求。

在网络性能方面,张天鹏表示,“由于在云环境中的资源非常复杂、分布广泛,导致用户很难定位数据访问的瓶颈所在。而云杉网络通过性能量化的功能,可以将整个云环境中的资源分成不同的段,比如防火墙、WEB、APP、DB,然后针对每一段的性能指标进行分析和呈现。基于性能数据,用户能够开发出更智能的大数据分析平台,把包括网络数据、安全数据、业务数据统一在一起,让运营和决策者从应用和业务层面更好的理解网络性能对整个运营的影响。”

基于OpenStack的开放、灵活、安全网络平台

在SDN网络产品领域,现在比较常见的产品包括VMware NSX以及思科的ACI等。NSX当年的产品理念是打造适用于任何硬件网络的平台,由于NSX所提供的SDN解决方案是完全基于X86架构进行开发的纯软件方案,所以能够满足平台的通用性。之后,思科围绕基于X86硬件平台能力的提升和DPDK的优化,推出了380G的防火墙产品。

随后,传统安全厂商也相继推出了虚拟防火墙、虚拟WAF、虚拟IPS,应用交付厂商推出了虚拟负载均衡、BPN等产品,所有硬件产品一时间都呈现为了软件形态。换句话说,越来越强的硬件支撑,为硬件功能的软件化提供了更广阔的空间。

张天鹏认为,“未来硬件将越来越趋于标准化,而软件的能力也将被进一步释放。”也正是基于这样的理念,云杉网络在SDN领域提出了自己的思路。张天鹏指出,“VMware NSX虽然属于纯软件的SDN解决方案,但其仍然是一个闭源的系统。我们认为在传统IT向云过渡过程中,所有云都应该基于OpenStack这样的开放性标准,在一套开放、开源的框架中去做产品的定制开发,这样才能从真正意义上做到平台的通用性。”

张天鹏进一步阐述到,“云杉网络所提供的SDN解决方案,是一个完全基于OpenStack标准协议框架以及X86平台标准的开放、安全的网络平台产品。我们的平台同时支持VMware和OpenStack两套协议标准,由于这两种平台在性能方面存在差异性,我们还特别针对不同平台制定了相应的阈值机制,一旦流量超过了阈值所设定的安全线,就会自动调整相应的流量采样策略。当然,也支持用户自己去做相应调整。另外,云杉网络和大量安全厂商做了技术对接,能够提供更加全面的SDN整体解决方案能力。”

来源:至顶网网络频道

0赞

好文章,需要你的鼓励

2017

11/22

15:31

分享

点赞

邮件订阅
白皮书